DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Save this PDF as:

WORD PNG TXT JPG

Rozměr: px

Začít zobrazení ze stránky:

Download "DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz 24. 11. 2010"

Vojtěch Kubíček
před 2 lety
Počet zobrazení:

Transkript

1 DNSSEC v praxi CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

2 Obsah Proč je zapotřebí zabezpečení DNS Lehký, ale jen velmi lehký úvod do DNSSECu DNSSEC v.cz Jak jednoduše nasadit DNSSEC Implementace DNSSECu v CZ.NICu DNSSEC ve světě 2

3 Proč je potřeba zabezpečit DNS Nezabezpečený protokol Druhy útoků: Buffer overflow/stack smashing, etc. MitM Útočník v cizí síti Chyby v DNS serverech Málo náhodnosti 3

4 Chyby v DNS serverech Kaspureff Přesměroval kořenovou zónu na svoje NS Zneužití sekce ADDITIONAL (Další záznamy) DNS server vše přebral do cache Byl odsouzen 4

5 Málo náhodnosti Každý paket má: ID v hlavičce DNS zprávy zdrojový port v IP hlavičce 5

6 Hlavička DNS zprávy ID QR Opcode AA TC RD RA Z RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT

7 Kaminsky-style útok Útok na resolvery (rekurzivní DNS servery) Útok z libovolné sítě Nutná podmínka: Možnost falšovat IP adresy zdroje neexistující Ingress filtry (BCP 38) uvnitř stejné sítě (např. hosting u ISP) 7

Možnost falšovat IP adresy zdroje neexistující

8 Kaminsky-style útok Útok před Kaminskym: Malé časové okno k podvržení útoku První dotaz na jméno nebo vypadne z cache Útok Dana Kaminskeho: Neomezené časové okno Dotaz na neexistující jméno Cíl útoku v sekci AUTHORITY DNS server přepíše obsahem sekce AUTHORITY vlastní cache 8

Kaminskeho: Neomezené časové okno Dotaz na neexistující jméno Cíl

9 Kaminsky-style útok Před: Náhodné ID v hlavičce (2^16) Statický zdrojový port Po: Náhodné ID v hlavičce (2^16) Náhodný zdrojový port (<2^16) Nedají se využít všechny 9

10 Kaminsky-style útok Před Po Neomezeně velké časové okno Neomezeně velké časové okno Malá náhodnost (2^16) Větší náhodnost (~2^31) Úspěšný útok v řádu sekund! Úspěšný útok v řádu dní! 10

11 Kaminsky-style útok Útočník pošle DNS dotaz: jfdsj.udp53.cz. IN A a začne posílat falešné odpovědi Falešná zdrojová adresa UDP paketu (Náhodný) zdrojový port Náhodné ID DNS zprávy Obsah: jfdsj.udp53.cz. IN NS IN A

UDP paketu (Náhodný) zdrojový port Náhodné ID DNS zprávy Obsah:

12 Lehký úvod do DNSSECu Přidává do DNS zóny podpisy Asymetrická kryptografie Nešifruje na drátě Nové DNS (RR) záznamy RRSIG podpis záznamů (stejný vlastník, typ, třída) Pozor na platnost podpisů DNSKEY veřejná část klíče NSEC/NSEC3 ověřený záznam o neexistenci DS bezpečná delegace v nadřazené (parent) zóně 12

vlastník, typ, třída) Pozor na platnost podpisů DNSKEY veřejná část klíče

13 Lehký úvod do DNSSECu DNSKEY klíče Nemají platnost, možnost rozlousknutí Key Signing Key (KSK) Silnější (více bitů), více dat Podepisují se jím pouze ostatní klíče Určený pro bezpečnou delegaci v nadřazené zóně Zone Signing Key (ZSK) Slabší (méně bitů), méně dat Podepisují se jím všechny záznamy v zóně Možnost měnit bez zásahu do nadřazené zóny 13

pro bezpečnou delegaci v nadřazené zóně Zone Signing Key (ZSK) Slabší (méně bitů), méně

14 Centrální registr pro.cz FRED - Open Source EPP protokol (over TCP) Extensible Provisioning Protocol Založený na XML RFC standard Standardní schémata nevyhovující Převážně vlastní schémata (kromě základu) 14

15 Rozšíření.CZ pro DNSSEC Nové schéma v EPP Definuje objekt KEYSET 1-n DNSKEY záznamů 1-n technických kontaktů m:n mapovaní k doménovým jménům Jeden klíč může být použitý u více domén Automatické generování DS záznamů z DNSKEY DS je hash z domény+klíče Vkládají držitelé domén přes registrátory 15

1-n technických kontaktů m:n mapovaní k doménovým jménům Jeden klíč může

16 Podepsání.CZ Generování podepsané zóny.cz Kontrola validity vygenerované zóny Kontrola počtu změn Podepsání zóny pomocí dnssec-signzone Kontrola validity podepsané zóny Publikování zóny 16

17 Podepsání.CZ HSM Hardware Security Module SCA6000 Levná PCI karta (1000 EUR) Původně pouze binární ovladače pro Solaris a RHEL4 signzone je na Solarisu skoro řádově pomalejší :-( Nyní ovladače i pro Debian/Ubuntu, připravujeme nasazení 17

18 Podepsání.CZ Zónové transfery DNS servery pro.cz 5 NS záznamů ~10 lokalit Praha, Vídeň, Stockholm, Kalifornie, Londýn, Chile, Frakfurt, Japonsko... ~26 fyzických serverů Každý lokalita 2 servery, (Praha 6 serverů) 18

19 Podepsání.CZ Zónové transfery Velikost zónového souboru: ~40MB před podepsáním ~240MB po podepsání Generování a podepsání zónového souboru: Každých 30 minut Každých 30 minut Přenos 20*240MB = ~4GB Tranzitní operátoři Kupte si více konektivity :) 19

20 Podepsání.CZ Zónové transfery AXFR vs. IXFR AXFR plný přenos zóny IXFR jen přenos rozdílů Pomůže IXFR? Podepsání každých 30 minut Nové RRSIG záznamy každých 30 minut Přenos rozdílů: smazat staré RRSIG vytvořit nové RRSIG Větší než AXFR! 20

IXFR? Podepsání každých 30 minut Nové RRSIG záznamy každých

21 Podepsání.CZ Zónové transfery Řešením je využít staré RRSIG Vlastní utility založené nad knihovnou ldns Postup: Vygenerovat novou zónu Vybrat všechny DNSSEC záznamy ze staré zóny Spojit dohromady Podepsat pomocí dnssec-signzone Využití stále platných podpisů Zahození již neplatných podpisů Jitter pro konec platnosti rozložení generování nových v čase Žádný problém s konektivitou :) 21

22 Jak nasadit DNSSEC (mini návod) Nástroje z Bind9.7 Vytvořit DNSSEC klíče (KSK, ZSK) # dnssec keygen a RSA SHA1 b 2048 ( f KSK) <zone> # dnssec keygen a RSA SHA1 b 1024 <zone> Vložit klíče do zóny: # cat K<zone>*.key >> <zonefile> Pravidelně podepisovat zónu # dnssec signzone S <zone> Změnit konfiguraci DNS serveru s/<zone>/<zone>.signed/ 22

23 Ještě jednodušeji Bind 9.7 Automatické přepodepisování OpenDNSSEC Plně automatizovaná správa podepsaných domén Plně automatizovaná správa klíčů Hardware DNSX Secure Signer Secure64 DNS Signer (FIPS Level 2) Vybrat si správného registrátora 23

24 Jak nasadit DNSSEC co dál? Vložit DS záznam do nadřazené zóny V.CZ přes registrátora Vytvoření objektu KEYSET z DNSKEY záznamů Pravidelně se o zónu starat Neplatné podpisy způsobí smrt zóny Pokud resolver používá DNSSEC, nebudou záznamy v DNS dostupné Je možné automatizovat 24

25 DNSSEC v České Republice Podporují jen někteří registrátoři Někteří registrátoři podepsali všechny své domény!!! WEB4U únor 2009 (15k+) ACTIVE 24 březen 2009 (100k+) Česká Republika je DNSSEC velmoc bezpečně delegovaných domén 25

26 DNSSEC ve světě 2008.SE průkopníci, první nasazení DNSSECu v TLD.CZ příprava od ledna 2008, spuštění září 2008 Bulharsko, Portoriko podepsáno Kořenová zóna žádná činnost Léto 2008 Zveřejnění Kaminsky-style útoku Najednou urychlená činnost 26

27 DNSSEC ve světě Spuštění ITAR Interim Trust Anchor Repository Každý měsíc přibývají nové a nové TLD Dočasné úložiště klíčů u IANA Do doby než bude podepsána kořenová zóna Generické.gov,.org Speciální.museum Národní.ca,.pt,.ch,.li,.kz,.uk,.nl,... Mapa nasazení: 27

28 DNSSEC ve světě Některé TLD stále váhají Další TLD tiše pracují na implementaci Červenec 2010 Prosinec 2010 Kořenová zóna je podepsána! Podpis.net Březen 2011 Podpis.com (~10mio záznamů) 28

29 DNSSEC projekty v CZ.NIC Labs DNSSEC Tester DNSSEC Validátor ODVR 29

30 DNSSEC Tester Testování lokální sítě na podporu DNSSEC Python aplikace (Linux, Mac OS X, Windows) Mnoho faktorů Podpora na firewallu (ADSL modem, WiFi, ) Podpora používaných resolverů Spolehlivé výsledky V laboratorním prostředí 30

31 DNSSEC Validátor Doplněk pro Mozilla Firefox Kontroluje a zobrazuje DNSSEC validaci URL Použití systémových nebo vlastních resolverů Brzy i pro Google Chrome a Internet Explorer

32 ODVR Otevřené DNSSEC Validující Resolvery Třetí na světě (+DNS OARC, Comcast) Validuje domény z kořenové zóny Použití (resolv.conf): , :1488:800:400::130, 2001:1488:800:400::131

33 33

Podobné dokumenty

Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa

Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa verze 1.9., platná od 1.1.2010 Úvod Tento materiál určuje provozní pravidla, kterými se řídí sdružení CZ.NIC při správě DNSSEC klíčů, konkrétně postupy